Ubuntu18.04 免费开源杀毒/恶意检测工具全套推荐

分为**通用文件杀毒**、**Rootkit后门查杀**两类，全部开源免费、官方源可直接安装，适配服务器/桌面环境，结合你之前遇到的进程隐藏、挖矿木马场景，推荐组合使用。

## 一、ClamAV（全能主流开源杀毒，首选）
### 核心定位
业界标准开源杀毒引擎，检测Windows病毒、Linux木马、挖矿程序、压缩包、脚本恶意文件，支持定时全盘扫描、实时监控，服务器/桌面通用，配套图形界面ClamTK方便可视化操作。
### 核心优势
1. 完全开源免费，病毒库每日自动更新；
2. 支持递归扫描zip/tar/gz/rar等压缩包、Java jar、脚本；
3. 可删除/隔离恶意文件，支持日志输出；
4. 轻量，低服务器性能占用。

### Ubuntu18.04 一键安装
```bash
# 安装命令行引擎+后台服务+图形界面
sudo apt update
sudo apt install clamav clamav-daemon clamtk -y
```
### 基础使用命令
1. 更新病毒库（首次必须执行）
```bash
sudo freshclam
```
2. 全盘递归扫描，发现病毒自动删除并输出日志
```bash
sudo clamscan -r / --remove --log=/var/log/clam_full_scan.log
```
3. 扫描指定目录（如/tmp，木马高发目录）
```bash
sudo clamscan -r /tmp --move=/tmp/virus_quarantine
```
### 桌面使用
直接运行 `clamtk` 打开可视化窗口，支持手动选目录扫描、定时任务、隔离区管理。

---

## 二、Rootkit 后门查杀工具（针对你之前进程隐藏告警场景）
### 1. rkhunter（Rootkit Hunter）
专门检测内核级Rootkit、隐藏进程、篡改系统二进制、后门脚本、嗅探工具，完美匹配你遇到的`mount --bind`隐藏进程入侵场景。
安装：
```bash
sudo apt install rkhunter -y
```
全盘检测：
```bash
sudo rkhunter --update  # 更新特征库
sudo rkhunter --check --skip-keypress --report-warnings-only
```

### 2. chkrootkit
轻量Rootkit扫描工具，独立检测70+种后门，无需复杂配置，适合快速巡检。
安装：
```bash
sudo apt install chkrootkit -y
```
全盘扫描：
```bash
sudo chkrootkit
```

> 💡 建议：服务器入侵排查时，**ClamAV + rkhunter + chkrootkit 三者组合扫描**，覆盖文件病毒+内核隐藏后门。

---

## 三、其他辅助开源安全工具（补充防护）
### 1. Lynis（系统安全审计）
非传统杀毒，但扫描系统漏洞、异常定时任务、可疑开机脚本、弱权限文件，能提前发现入侵入口，开源免费。
```bash
sudo apt install lynis -y
sudo lynis audit system
```
### 2. OSSEC（开源HIDS主机入侵检测）
实时监控文件篡改、进程创建、日志异常，发现木马创建/进程隐藏行为实时告警，适合长期服务器防护。

---

## 四、分场景推荐组合方案
### 场景1：纯服务器（无桌面，你当前业务服务器）
必备：`clamav + rkhunter + chkrootkit + lynis`
- 定时任务：每周凌晨自动全盘扫描，输出日志；
- 重点监控目录：`/tmp /var/tmp /root /home`。

### 场景2：桌面Ubuntu18.04
必备：`clamav + clamtk（图形界面）`，日常手动扫描下载文件。

### 场景3：已疑似入侵（你之前进程隐藏告警）
1. 先执行 `rkhunter + chkrootkit` 排查Rootkit隐藏进程；
2. ClamAV全盘扫描删除木马程序；
3. Lynis审计定时任务、开机自启后门。

---

## 五、重要补充说明
1. Linux原生病毒极少，但**挖矿木马、后门脚本、Windows病毒文件**是主要威胁，ClamAV可全覆盖；
2. 对比商业杀毒（赛门铁克等），开源工具无内存常驻后台占用，不会出现你top截图里2.1G内存占用的情况；
3. 最佳实践：每月至少1次全盘扫描，重点监控`/tmp`临时目录（攻击者常用存放木马）。